ČESKÁ TECHNICKÁ NORMA

ICS 35.030                                                                                                                                     Březen 2024

Informační technologie – Management incidentů
informační bezpečnosti –
Část 2: Směrnice pro plánování a přípravu odezvy na incidenty

ČSN
ISO/IEC 27035-2

36 9799

 

Information technology – Information security incident management –
Part 2: Guidelines to plan and prepare for incident response

Technologies de l’information – Gestion des incidents de sécurité de l’information –
Partie 2: Lignes directrices pour planifier et préparer une réponse aux incidents

Tato norma je českou verzí mezinárodní normy ISO/IEC 27035-2:2023. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO/IEC 27035-2:2023. It was translated by the Czech Standardization Agency. It has the same status as the official version.

Nahrazení předchozích norem

Touto normou se nahrazuje ČSN ISO/IEC 27035-2 (36 9799) z května 2018.


Národní předmluva

Změny proti předchozí normě

Název normy byl změněn. Do normy byly doplněny nové články. Kapitola 7 byla reorganizována a byla aktualizována bibliografie.

Informace o citovaných dokumentech

ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník

ISO/IEC 27035-1:2023 zavedena v ČSN ISO/IEC 27035-1:2024 (36 9799) Informační technologie – Management incidentů informační bezpečnosti – Část 1: Principy a proces

Souvisící ČSN

ČSN EN ISO/IEC 27001:2023 (36 9797) Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu informační bezpečnosti – Požadavky

ČSN EN ISO 22301 (01 2306) Bezpečnost a odolnost – Systémy managementu kontinuity podnikání – Požadavky

ČSN EN ISO 22313 (01 2316) Bezpečnost a odolnost – Systémy managementu kontinuity podnikání – Pokyny pro používání ISO 22301

ČSN EN ISO/IEC 27002:2023 (36 9798) Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Opatření informační bezpečnosti

ČSN ISO/IEC 27005:2023 (36 9790) Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Pokyny pro management rizik informační bezpečnosti

ČSN ISO/IEC 27031 (36 9801) Informační technologie – Bezpečnostní techniky – Směrnice pro připravenost informačních a komunikačních technologií pro kontinuitu činnosti organizace

ČSN ISO/IEC 27033-1 (36 9701) Informační technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 1: Přehled a pojmy

ČSN ISO/IEC 27033-2 (36 9701) Informační technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 2: Směrnice pro návrh a implementaci bezpečnosti sítě

ČSN ISO/IEC 27033-3 (36 9701) Informační technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 3: Referenční síťové scénáře – Hrozby, techniky návrhu a otázky řízení

ČSN ISO/IEC 27033-4 (36 9701) Informační technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 4: Zabezpečení komunikace mezi sítěmi s využitím bezpečnostních bran

ČSN EN ISO/IEC 27040 (36 9849) Informační technologie – Bezpečnostní techniky – Zabezpečení úložišť dat

ČSN EN ISO/IEC 30111 (36 9706) Informační technologie – Bezpečnostní techniky – Postupy zacházení se zranitelnostmi

ČSN ISO 8601 (soubor) (97 8601) Datum a čas – Zobrazení pro výměnu informací

Vysvětlivky k textu této normy

V případě nedatovaných odkazů na evropské/mezinárodní normy jsou ČSN uvedené v článcích „Informace
o citovaných dokumentech“ a „Souvisící ČSN“ nejnovějšími vydáními, platnými v době schválení této normy. Při používání této normy je třeba vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných evropských/mezinárodních norem (včetně všech změn).

Pro účely této normy je anglický termín „guidance“ přeložen jako „pokyn“ vzhledem k jeho používání v oblasti IT a v návaznosti na vydané normy z oblasti IT, zejména souboru norem ISO/IEC 27XXX. Český ekvivalent „návod“ je vzhledem ke kontextu nevhodný a v praxi se v souvislosti se souborem norem ISO/IEC 27XXX nepoužívá.

Pro účely této normy byly použity následující anglické termíny v původní podobě, vzhledem k rozšíření těchto termínů v odborné komunitě a/nebo absenci českého ekvivalentu:

bot, botnet, hacking, hoax, phishing, ransomware, warez.

Upozornění na národní poznámky

Do normy byla k článku 6.4 doplněna vysvětlující národní poznámka.

MEZINÁRODNÍ NORMA

Informační technologie –                                                                                        ISO/IEC 27035-2
Management incidentů bezpečnosti informací –                                             Druhé vydání
Část 2: Směrnice pro plánování a přípravu odezvy na incidenty                2023-02

ICS 35.030

Obsah

Strana

Předmluva..................................................................................................................................................................................................... 5

Úvod................................................................................................................................................................................................................ 6

1............ Předmět normy............................................................................................................................................................................. 7

2............ Citované dokumenty.................................................................................................................................................................... 7

3............ Termíny, definice a zkrácené termíny...................................................................................................................................... 7

3.1......... Termíny a definice........................................................................................................................................................................ 7

3.2......... Zkrácené termíny.......................................................................................................................................................................... 7

4............ Politika managementu incidentů informační bezpečnosti................................................................................................... 8

4.1......... Obecně........................................................................................................................................................................................... 8

4.2......... Zainteresované strany................................................................................................................................................................. 8

4.3......... Obsah politiky managementu incidentů informační bezpečnosti....................................................................................... 9

5............ Aktualizace politik informační bezpečnosti........................................................................................................................... 10

5.1......... Obecně......................................................................................................................................................................................... 10

5.2......... Propojení dokumentů tvořících politiky.................................................................................................................................. 11

6............ Vytvoření plánu managementu incidentů informační bezpečnosti.................................................................................. 11

6.1......... Obecně......................................................................................................................................................................................... 11

6.2......... Plán managementu incidentů informační bezpečnosti založený na vzájemné shodě............................................... 11

6.3......... Zainteresované strany............................................................................................................................................................... 12

6.4......... Obsah plánu managementu incidentů informační bezpečnosti....................................................................................... 12

6.5......... Stupnice pro klasifikaci incidentů............................................................................................................................................ 15

6.6......... Formuláře pro incidenty............................................................................................................................................................ 15

6.7......... Dokumentované procesy a postupy....................................................................................................................................... 15

6.8......... Důvěra a jistota........................................................................................................................................................................... 17

6.9......... Zacházení s důvěrnými nebo citlivými informacemi........................................................................................................... 17

7............ Ustavení schopnosti managementu incidentů..................................................................................................................... 17

7.1......... Obecně......................................................................................................................................................................................... 17

7.2......... Ustavení týmu pro management incidentů........................................................................................................................... 17

7.2.1...... Struktura týmu IMT..................................................................................................................................................................... 17

7.2.2...... Role a odpovědnosti týmu IMT................................................................................................................................................ 18

7.3......... Ustavení týmu pro odezvu na incident................................................................................................................................... 19

7.3.1...... Struktura týmu IRT...................................................................................................................................................................... 19

7.3.2...... Typy a role týmu IRT.................................................................................................................................................................. 20

Strana

7.3.3...... Kompetence personálu týmu IRT............................................................................................................................................ 21

8............ Ustavení interních a externích vztahů..................................................................................................................................... 22

8.1......... Obecně......................................................................................................................................................................................... 22

8.2......... Vztah s ostatními částmi organizace...................................................................................................................................... 22

8.3......... Vztah s externími zainteresovanými stranami...................................................................................................................... 22

9............ Určení technické a další podpory............................................................................................................................................ 23

9.1......... Obecně......................................................................................................................................................................................... 23

9.2......... Technická podpora.................................................................................................................................................................... 25

9.3......... Další podpora.............................................................................................................................................................................. 25

10.......... Vytváření povědomí o incidentech informační bezpečnosti a školení............................................................................. 25

11.......... Testování plánu managementu incidentů informační bezpečnosti................................................................................. 26

11.1....... Obecně......................................................................................................................................................................................... 26

11.2....... Cvičení.......................................................................................................................................................................................... 27

11.2.1... Určení cíle cvičení...................................................................................................................................................................... 27

11.2.2... Vymezení rozsahu cvičení........................................................................................................................................................ 27

11.2.3... Provádění cvičení....................................................................................................................................................................... 27

11.3....... Monitorování schopnosti odezvy na incident........................................................................................................................ 28

11.3.1... Zavedení programu monitorování schopnosti odezvy na incident................................................................................... 28

11.3.2... Monitorování metrik a správy a řízení schopnosti odezvy na incident............................................................................. 28

12.......... Poučení se................................................................................................................................................................................... 28

12.1....... Obecně......................................................................................................................................................................................... 28

12.2....... Identifikace oblastí pro zlepšení.............................................................................................................................................. 29

12.3....... Identifikace zlepšení a zlepšování plánu managementu incidentů informační bezpečnosti..................................... 29

12.4....... Hodnocení týmu IMT.................................................................................................................................................................. 29

12.5....... Identifikace zlepšení a zlepšování zavádění opatření informační bezpečnosti............................................................. 30

12.6....... Identifikace zlepšení a zlepšování posuzování rizik informační bezpečnosti a výsledků přezkoumání vedením.. 30

12.7....... Ostatní zlepšení.......................................................................................................................................................................... 31

Příloha A (informativní) Úvahy souvisící s právními nebo regulatorními požadavky................................................................... 32

Příloha B (informativní) Příklady formulářů pro zprávy o událostech, incidentech a zranitelnostech informační
bezpečnosti................................................................................................................................................................................. 35

Příloha C (informativní) Příklady přístupů ke kategorizaci, hodnocení a stanovení priorit událostí a incidentů
informační bezpečnosti............................................................................................................................................................. 46

Bibliografie.................................................................................................................................................................................................. 50

 

Logo0052b

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO/IEC 2023

Veškerá práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.

ISO copyright office

CP 401 · Ch. de Blandonnet 8

CH-1214 Vernier, Geneva

Tel.: + 41 22 749 01 11

E-mail: copyright@iso.org

Web: www.iso.org

Publikováno ve Švýcarsku


Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezi-
národních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives nebo www.iec.ch/members_experts/refdocs).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents) nebo v seznamu patentových prohlášení obdržených IEC (viz https://patents.iec.ch).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), jsou uvedeny na www.iso.org/iso/foreword.html. V IEC viz www.iec.ch/understanding-standards.

Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí.

Toto druhé vydání zrušuje a nahrazuje první vydání (ISO/IEC 27035-2:2016), které bylo technicky zrevidováno.

Hlavní změny jsou:

    název byl modifikován;

    byly doplněny nové role včetně týmu pro management incidentů a koordinátora incidentů a jejich odpovědnosti;

    obsah týkající se managementu zranitelností byl modifikován;

    v části 6.7 byl přidán obsah týkající se doporučeného procesu pro organizace;

    struktura kapitoly 7 byla reorganizována;

    část C.3 byla nahrazena jediným odstavcem;

    bibliografie byla aktualizována.

Seznam všech částí souboru ISO/IEC 27035 lze nalézt na webových stránkách ISO a IEC.

Jakákoli zpětná vazba nebo otázky týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt na www.iso.org/members.html
a
www.iec.ch/national-committees.

Úvod

Tento dokument se zaměřuje na management incidentů informační bezpečnosti, který je v ISO/IEC 27000 uveden jako jeden z kritických faktorů úspěchu systému managementu informační bezpečnosti.

Mezi plánem organizace na incident a připraveností organizace na incident může být velká propast. Proto se tento dokument zabývá vývojem postupů pro zvýšení důvěry ve skutečnou připravenost organizace reagovat na incident informační bezpečnosti. Toho je dosaženo řešením politik a plánů souvisících s managementem incidentů, jakož i procesem vytvoření týmu pro odezvu na incidenty a zlepšováním jeho výkonnosti v průběhu času přijímáním získaných zkušeností a vyhodnocováním.

1 Předmět normy

Tento dokument obsahuje směrnice pro plánování a přípravu odezvy na incidenty a poučení se z odezvy na incidenty. Směrnice vycházejí z fází „plánování a přípravy“ a „poučení se“ modelu fází managementu incidentů informační bezpečnosti uvedeného v ISO/IEC 27035-1:2023, 5.2 a 5.6.

Mezi hlavní body fáze „plánování a přípravy“ patří:

    politika managementu incidentů informační bezpečnosti a závazek vrcholového vedení;

    politiky informační bezpečnosti, včetně těch, které se týkají managementu rizik, aktualizované jak na úrovni organizace, tak na úrovni systému, služeb a sítě;

    plán managementu incidentů informační bezpečnosti;

    ustavení týmu pro management incidentů (IMT);

    navázání vztahů a spojení s interními a externími organizacemi;

    technická a jiná podpora (včetně organizační a provozní podpory);

    instruktáže a školení týkající se managementu incidentů informační bezpečnosti.

Fáze „poučení se“ zahrnuje:

    určení oblastí pro zlepšení;

    identifikaci a provedení nezbytných zlepšení;

    vyhodnocení týmu pro odezvu na incident (IRT).

Pokyny uvedené v tomto dokumentu jsou obecné a mají být použitelné pro všechny organizace bez ohledu na jejich typ, velikost nebo povahu. Organizace mohou pokyny uvedené v tomto dokumentu upravit podle svého typu, velikosti a povahy činnosti ve vztahu k situaci v oblasti rizik informační bezpečnosti. Tento dokument je použitelný i pro externí organizace poskytující služby managementu incidentů informační bezpečnosti.

 

 

Konec náhledu - text dále pokračuje v placené verzi ČSN.